漏洞风险提示（20221118）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1   Huawei HarmonyOS权限提升漏洞（CVE-2022-44559）
一、漏洞描述：     
       
        Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
        Huawei HarmonyOS存在权限提升漏洞，该漏洞源于AMS模块中存在序列化/反序列化不匹配。攻击者可利用该漏洞提升权限。
二、风险等级：
           高危
三、影响范围：
        Huawei HarmonyOS 2.0
        Huawei HarmonyOS 2.1
        Huawei HarmonyOS 3.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://device.harmonyos.com/cn/ ... 11-0000001440896653

---

2   Google Chrome资源管理错误漏洞（CVE-2022-3887）
一、漏洞描述：     
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome存在安全漏洞，该漏洞源于Web Workers存在内存释放后重用问题。目前没有详细的漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        Google Chrome <107.0.5304.106
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html

---

3   Google Android路径遍历漏洞（CVE-2022-20453）
一、漏洞描述：     
       
        Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。
        Google Android存在路径遍历漏洞。攻击者利用该漏洞可能导致无需额外执行权限的本地权限升级。
二、风险等级：
           中危
三、影响范围：
        Google Android 10.0
        Google Android 11.0
        Google Android 12.0
        Google Android 12.1
        Google Android 13.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/docs/ ... n/2022-11-01#system

---

4    Cisco Firepower Threat Defense信息泄露漏洞（CVE-2022-40747）
一、漏洞描述：     
       
        Cisco Firepower Threat Defense（FTD）是美国思科（Cisco）公司的一套提供下一代防火墙服务的统一软件。
        Cisco Firepower Threat Defense（FTD）Software存在信息泄露漏洞，该漏洞源于其TLS处理程序对使用SSL解密策略的设备上的Bleichenbacher攻击实施了不当的反制措施，未经身份验证的远程攻击者可利用该漏洞获得对敏感信息的访问权。
二、风险等级：
           中危
三、影响范围：
        Cisco Firepower Threat Defense
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://tools.cisco.com/security ... -ftd-tls-bb-rCgtmY2